ネットワークに接続された医療機器はなぜ攻撃を受けやすいのか。また、ハッキングされる可能性はどうか。本記事ではデジタル化された機器における5つのリスクについて解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
ヘルスケア業界では、今やデジタル技術の影響を受けない領域はほとんど存在しない。スマートウォッチやウェアラブル機器を介してワイヤレスで生体情報をリアルタイムで取得するものから、体内に埋め込まれた医療機器まで、様々な技術が導入されてきた。しかし、これらの機器の安全をどのように確保すればよいのだろうか。
数年前、Black Hatではインスリンポンプがハッキングされた例が報告された。規制当局は、その機器のソフトウェアの大部分が既製品であったかどうかに関わらず、たとえそのOSがセキュリティに関して優れた実績を持っていたとしても、基礎となるOSを含めて機器の開発者にセキュリティに対する責任があると述べている。言い換えれば、どのような技術を使用している場合でも、医療機器メーカーがその責任を負うことになるということだ。
医療機器メーカーのセキュリティに対する責任が注目されると同時に、医療機器を市場で販売するまでに要するコストや複雑さが急激に増してきた。結果として、市場が医療機器メーカーに対して迅速な製品のリリースを要望しているにも関わらず、今後の道のりは険しく、多額の予算が必要となる。また、知らず知らずのうちに、医療機器を利用する患者が保護するべき対象となっている。
加えて、医療機器に適用するべきパッチについては、誰が責任を持つのだろうか。FDA(米国食品医薬品局)によると、医療機器メーカーもその責任を負うものとされる。医療機器は数年にわたって使用されるものもあるため、その決して短くない期間にわたってサポートしていく必要がある。
医療機器はどのような背景で攻撃を受けやすく、ハッキングされる可能性はどの程度か。2020年12月のサイバーセキュリティ意識向上月間のテーマが、ヘルスケア業界におけるインターネットに接続された機器のセキュリティということもあり、それらに関連した5つのリスクについて以下に解説する。
Bluetooth
多くの医療機器はBluetooth接続を介して監視・操作することができるが、関連する脆弱性が長らく指摘されてきた。セキュリティパッチは公開されているものの、現場における実際の適用率や適用されるまでの時間については調査するのが困難だ。例えば、計測した血糖値が不正に書き換えられてしまったとしたら、その誤った計測値に基づいて血糖値を調整しようとするため、患者が命にかかわる状況に陥る可能性も否定できない。
Windows
多くの病院では、導入した医療機器のメーカーによる更新作業の遅れにより、既にサポートされていない古いバージョンのWindowsがそれらの機器を管理するコンピューター上で稼働している。医療機器メーカーは、自社のソフトウェアを最新のWindowsと統合する際に発生しうる問題を十分にテストしなければならないため、単純にパッチを適用するわけにはいかず、その確認作業は細心の注意を要する。攻撃者はこの状況を悪用し、脆弱性が発覚したタイミングで医療機器メーカーが対応する以前に脆弱性を突いた攻撃が行えるため、常に有利な立場にあるといえる。
クラウド
埋め込み型の医療機器の多くは、クラウドでの接続を介して医師に健康状態を知らせる通知が行える。患者の状態に応じて対処できるようにするためだ。2020年のBlack HatとDEF CONでは、クラウド環境のセキュリティは必ずしも優れたものではないと指摘されている。患者が潜在的な脆弱性について知る方法はあまりないが、攻撃者は脆弱性に関する情報が得られ次第、速やかに攻撃を仕掛けてくる。ハッキングの恐れがあるペースメーカーを利用する患者が、外部との通信を拒否しているケースもある一方で、埋め込み機器におけるクラウド活用には一定以上のニーズもあり、今後も推し進められていく見込みだ。
イーサネット
多くの医療機器はイーサネットを介して医療向けのTCP/IPネットワークに接続しているが、医師や患者にとって、既存の回線に仕掛けられた盗聴の仕組みに気付くのは困難だ。攻撃者は、この盗聴器に埋め込まれたワイヤレス接続からデータを抜き出して、トラフィックを傍受したり、脆弱性を突くことが可能だ。この方法では、攻撃者は物理的に侵入するのは一度だけでよく、低コストで済むため、危険だとみなされた場合でも機器を回収しに戻る必要はない。
ワイヤレスキーボード
キーロガーは、近年、ワイヤレスキーボードからのキー入力を記録するための標準的な手段となっている。偽のUSB充電器になりすましてコンセントに差し込まれたキーロガーは、業務用の4Gワイヤレスカードを介して、傍受したキー操作の情報を送信してしまう。これにより、攻撃者は入力されたパスワードなどの機密情報を記録すると同時に、セキュリティ製品の警告を避けながら、遠隔でバックドアをダウンロードしてインストールすることも可能だ。
おわりに
医療業界は、ここ数年、セキュリティに関しては後追いの状況にある。多くの医療機器は問題なく稼働し、大きな進歩を見せてきたため、セキュリティに関して行動を起こす必要性が認識されなかったからだ。今後数年で医療機器を最新化するのは大きな課題となるかもしれない。それでも、医療関係者はその取り組みに着手し、状況を変えるために技術的な知識を獲得しようとしている。一方で、多くの人に当てはまるが、自身が医療に大きく関与しているなら、医療機器に影響を与える可能性のある脆弱性を知っておくことが重要かもしれない。